Criar consultas de investigação com o modo guiado no Microsoft Defender
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
O construtor de consultas no modo guiado permite que os analistas criem consultas de investigação significativas sem saber Linguagem de Consulta Kusto (KQL) ou o esquema de dados. Os analistas de todos os escalões de experiência podem utilizar o construtor de consultas para filtrar os dados dos últimos 30 dias para procurar ameaças, expandir investigações de incidentes, realizar análises de dados sobre dados de ameaças ou focar-se em áreas de ameaças específicas.
O analista pode escolher o conjunto de dados a analisar e quais os filtros e condições a utilizar para reduzir os dados ao que precisam.
Pode watch este vídeo para obter uma descrição geral da investigação guiada:
Abrir a Consulta no Construtor
Na página Investigação avançada , selecione Criar novo para abrir um novo separador de consulta e selecione Consulta no construtor.
Isto leva-o para o modo guiado, onde pode construir a sua consulta ao selecionar diferentes componentes através de menus pendentes.
Especifique o domínio de dados no qual pretende investigar
Pode controlar o âmbito da caça ao selecionar o domínio que a consulta abrange:
Selecionar Tudo inclui dados de todos os domínios a que tem acesso atualmente. Reduzir para um domínio específico permite filtros relevantes apenas para esse domínio.
Você pode escolher:
- Todos os domínios – para ver todos os dados disponíveis na sua consulta.
- Pontos finais – para analisar os dados de pontos finais, conforme fornecido pelo Microsoft Defender para Ponto de Extremidade.
- Email e colaboração – para ver os dados das aplicações de e-mail e colaboração, como o SharePoint, o OneDrive e outros, os utilizadores familiarizados com o Threat Explorer podem encontrar os mesmos dados aqui.
- Aplicações e identidades – para ver os dados da aplicação e da identidade, conforme fornecido por Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade; os utilizadores familiarizados com o Registo de atividades podem encontrar os mesmos dados aqui.
- Infraestrutura de cloud – para analisar os dados da infraestrutura de cloud, conforme fornecido pelo Microsoft Defender para a Cloud.
- Gestão da exposição – para analisar os dados de gestão da exposição, conforme fornecido pelo Gerenciamento de Exposição da Segurança da Microsoft.
Utilizar filtros básicos
Por predefinição, a investigação guiada inclui alguns filtros básicos para começar rapidamente.
Quando escolhe uma origem de dados, por exemplo, Pontos finais, o construtor de consultas apresenta apenas os grupos de filtros aplicáveis. Em seguida, pode escolher um filtro que esteja interessado em reduzir ao selecionar esse grupo de filtros, por exemplo, EventType e selecionar o filtro à sua escolha.
Quando a consulta estiver pronta, selecione o botão azul Executar consulta . Se o botão estiver desativado, significa que a consulta tem de ser preenchida ou editada ainda mais.
Observação
A vista de filtro básica utiliza apenas o operador E , o que significa que a execução da consulta gera resultados para os quais todos os filtros definidos são verdadeiros.
Carregar consultas de exemplo
Outra forma rápida de se familiarizar com a investigação guiada é carregar consultas de exemplo com o menu pendente Carregar consultas de exemplo .
Observação
Selecionar uma consulta de exemplo substitui a consulta existente.
Depois de carregar a consulta de exemplo, selecione Executar consulta.
Se tiver selecionado anteriormente um domínio, a lista de consultas de exemplo disponíveis muda em conformidade.
Para restaurar a lista completa de consultas de exemplo, selecione Todos os domínios e, em seguida, reabra Carregar consultas de exemplo.
Se a consulta de exemplo carregada utilizar filtros fora do conjunto de filtros básico, o botão de alternar estará desativado. Para voltar ao conjunto de filtros básico, selecione Limpar tudo e, em seguida, ative Todos os filtros.
Utilizar mais filtros
Para ver mais grupos de filtros e condições, selecione Alternar para ver mais filtros e condições.
Quando o botão de alternar Todos os filtros estiver ativo, agora pode utilizar toda a gama de filtros e condições no modo guiado.
Criar condições
Para especificar um conjunto de dados a utilizar na consulta, selecione Selecionar um filtro. Explore as diferentes secções de filtro para encontrar o que está disponível para si.
Escreva os títulos da secção na caixa de pesquisa na parte superior da lista para localizar o filtro. As secções que terminam nas informações contêm filtros que fornecem informações sobre os diferentes componentes que pode ver e filtros para os estados das entidades. As secções que terminam em eventos contêm filtros que lhe permitem procurar qualquer evento monitorizado na entidade. Por exemplo, para procurar atividades que envolvam determinados dispositivos, pode utilizar os filtros na secção Eventos do dispositivo .
Observação
Escolher um filtro que não esteja na lista de filtros básicos desativa ou desativa o botão de alternar para regressar à vista de filtros básicos. Para repor a consulta ou remover filtros existentes na consulta atual, selecione Limpar tudo. Isto também reativa a lista de filtros básicos.
Em seguida, defina a condição adequada para filtrar ainda mais os dados, selecionando-os no segundo menu pendente e fornecendo entradas no terceiro menu pendente, se necessário:
Pode adicionar mais condições à sua consulta com as condições E e OU . E devolve resultados que cumprem todas as condições na consulta, enquanto OU devolve resultados que cumprem qualquer uma das condições na consulta.
Refinar a consulta permite-lhe analisar automaticamente registos volumosos para gerar uma lista de resultados que já se destina à sua necessidade específica de investigação de ameaças.
Para saber que tipos de dados são suportados e outras funcionalidades de modo guiado para o ajudar a ajustar a consulta, leia Refinar a consulta no modo guiado.
Experimentar instruções de consulta de exemplo
Outra forma de se familiarizar com a investigação guiada é carregar consultas de exemplo pré-criadas no modo guiado.
Na secção Introdução da página de investigação, fornecemos três exemplos de consulta guiada que pode carregar. Os exemplos de consulta contêm alguns dos filtros e entradas mais comuns que normalmente precisaria na sua investigação. Carregar qualquer uma das três consultas de exemplo abre uma visita guiada sobre como construir a entrada através do modo guiado.
Siga as instruções nas bolhas de ensino azuis para construir a sua consulta. Selecione Executar consulta.
Experimentar algumas consultas
Procurar ligações bem-sucedidas a UM IP específico
Para procurar comunicações de rede com êxito para um endereço IP específico, comece a escrever "ip" para obter filtros sugeridos:
Para procurar eventos que envolvam um endereço IP específico onde o IP é o destino da comunicação, selecione DestinationIPAddress na secção Eventos de Endereço IP. Em seguida, selecione o operador equals . Escreva o IP no terceiro menu pendente e prima Enter:
Em seguida, para adicionar uma segunda condição que procura eventos de comunicação de rede com êxito, procure o filtro de um tipo de evento específico:
O filtro EventType procura os diferentes tipos de eventos registados. É equivalente à coluna ActionType que existe na maioria das tabelas na investigação avançada. Selecione-o para escolher um ou mais tipos de eventos para filtrar. Para procurar eventos de comunicação de rede com êxito, expanda a secção DeviceNetworkEvents e, em seguida, selecione ConnectionSuccess:
Por fim, selecione Executar consulta para procurar todas as comunicações de rede com êxito para o endereço IP 52.168.117.170:
Procurar e-mails de spam ou phish de alta confiança entregues na caixa de entrada
Para procurar todos os e-mails de spam e phish de alta confiança que foram entregues na pasta da caixa de entrada no momento da entrega, primeiro selecione ConfidenceLevel em Email Eventos, selecione Igual a e selecione Alto em Phish e Spam na lista fechada sugerida que suporta seleção múltipla:
Em seguida, adicione outra condição, desta vez especificando a pasta ou DeliveryLocation, a Caixa de Entrada/pasta.
Confira também
- Refinar sua consulta no modo guiado
- Trabalhar com os resultados da consulta no modo guiado
- Compreender o esquema
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.